提供侵入、非法控制計算機信息系統程序、工具罪的限縮解釋
——以打擊對象為切入*

高艷東

《刑法修正案(七)》于2009年設立了提供侵入、非法控制計算機信息系統程序、工具罪(以下簡稱“提供工具罪”),其適用經歷了幾個階段性的演變。2009年至2013年,該罪主要打擊制售盜號“木馬病毒”行為,案件數量極少。2014年至2017年,該罪打擊對象擴展到“翻墻軟件”“網絡爬蟲”等有一定中立性的程序與工具,案件數量逐漸攀升。2017年之后,該罪打擊對象擴展到有相對中立性的“外掛軟件”,案件數量猛增。近年來,隨著對網絡犯罪“打早打小”刑事政策的落實,一些原本以非法經營罪、侵犯著作權罪、銷售侵權復制品罪定罪的銷售非法軟件案件也經常被認定為“提供工具罪”。其中,部分案件屬于多個罪名競合而被動適用了“提供工具罪”,但也有很多案件直接被認定為“提供工具罪”并存在罪名適用爭議。很多判決書在論證“專門用于侵入、非法控制計算機信息系統的程序、工具”時說理不充分,在解釋“計算機信息系統安全保護措施”時含糊不清,讓學界開始擔心“提供工具罪”罪名適用的口袋化傾向。

一、問題提出

案例一:2018年,“明星蔡徐坤一條微博轉發量過億”事件引發社會對流量數據造假的關注。涉案刷量軟件的開發者蔡某某因涉嫌破壞計算機信息系統罪被警方逮捕,最終以“提供工具罪”被法院判處有期徒刑五年。(1)參見北京市豐臺區人民法院(2019)京0106刑初1813號刑事判決書。該判決對于打擊流量造假亂象具有積極意義,但判決結果卻引發了爭議:刷量軟件是否屬于“專門用于侵入計算機信息系統的程序”,使用軟件的粉絲是否有“侵入”或“非法控制計算機信息系統”的行為?

案例二:2018年9月,上海市寶山區法院審理了戴某提供VPN“翻墻”服務案,司法人員對于提供VPN“翻墻”服務的定性產生了分歧,存在無罪、非法經營罪、“提供工具罪”三種意見。(2)參見梅禮勻:《提供給VPN“翻墻”服務的行為如何定性》,載《人民檢察》2019年第6期。法院最終以“提供工具罪”判處戴某有期徒刑三年,緩刑三年。(3)參見上海市寶山區人民法院(2018)滬0113刑初1606號刑事判決書。雖然翻墻軟件能避開國家網絡管控措施,但這種管控措施是否屬于“計算機信息系統安全保護措施”,即便翻墻軟件避開了安全保護措施,是否非法獲取了計算機信息系統數據或非法控制了計算機信息系統?這些理論問題,判決書都沒有明確回應。

這些判例反映出司法實踐中的常見問題:一是“‘專門’侵入、控制的程序、工具”(以下簡稱“專門工具”)和“‘可以’侵入、非法控制計算機信息系統的程序、工具”(以下簡稱“其他工具”)的界限不清;二是“侵入”“計算機信息系統安全保護措施”等專業名詞的含義不清;三是工具使用者行為的定性對“提供工具罪”基本無影響,刷量軟件、翻墻軟件成為“提供工具罪”的打擊對象,但軟件使用者均不構成非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪。在類似案件中,法院認定的“專門工具”無法被用于侵入、非法控制計算機信息系統,邏輯上存在矛盾。2017年后,“提供工具罪”案件數量明顯增加,但相關專業名詞的含義并未清晰化,反而有被擴大化解釋的趨勢,導致該罪的打擊范圍不斷擴大。法官在適用該罪名時常忽視涉案程序、工具的主要用途,混淆“專門工具”和“其他工具”,導致該罪被濫用?；诖?本文嘗試提出防止“提供工具罪”被濫用的學理建議。

二、罪名適用現狀與爭議的類型化分析

筆者以北大法寶為數據庫,以“提供工具罪”為案由,檢索得到判決書748篇(上傳日期截至2023年8月1日),歷年審結案件數量如表1所示:

分析表1可知,自2015年起“提供工具罪”歷年審結案件數量呈遞增趨勢,于2020年達到最高峰。需要說明,根據筆者在H市基層司法部門的調研,2021、2022年“提供工具罪”定罪數量仍居高不下,只是因該罪控辯雙方爭議較大導致判決書上網數量明顯下降。

在748份判決書范圍內,筆者以涉案軟件、工具類型為關鍵字進行二次檢索,得到各類軟件、工具所涉案件數量與占比如表2所示:

表2:“提供工具罪”各類程序、工具案件數量

表2中“其他”類型的程序、工具,部分屬于已列明類別,但在判決書中無關鍵字;還有部分由于案件數量很少故不單獨列明,如賬號解封軟件、會員破解軟件、炒股分倉軟件、黃牛搶票軟件、爬蟲軟件等。分析表2可知,外掛軟件、木馬病毒、翻墻軟件所涉案件數量最多,是“提供工具罪”的主要打擊對象?！疤峁┕ぞ咦铩毕祹椭袨檎富锩?罪名成立與被幫助行為的定性息息相關,故筆者以被幫助行為是否構成犯罪及構成何罪為分類依據,將現有裁判文書中涉及的程序、工具分為“被幫助行為觸犯《刑法》第285條”“被幫助行為構成其他犯罪”“被幫助行為不構成犯罪”三類,便于后續討論。簡要介紹如下:

(一)被幫助行為觸犯《刑法》第285條

第一,木馬病毒。木馬病毒一般被用于盜竊他人賬號、密碼等身份認證信息,或控制他人計算機后實施敲詐,司法機關一般以非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪對使用木馬病毒的行為進行定罪。由于木馬病毒的侵入性較為明顯,司法實踐對其定性爭議不大。

第二,撞庫軟件。由于撞庫軟件采用批量嘗試登錄這一簡單機械化方式獲取用戶名與密碼,其定性曾存在一定爭議,有學者將其認定為“采用其他技術手段”非法獲取計算機信息系統存儲的數據,以非法獲取計算機信息系統數據罪定罪。(4)參見皮勇:《全國首例撞庫打碼案的法律適用分析》,載《中國檢察官》2019年第6期。2020年4月,最高人民檢察院發布第十八批指導性案例,明確“撞庫軟件”為“專門工具”,為他人提供“撞庫軟件”的行為構成“提供工具罪”。自此,司法實踐對撞庫軟件的定性形成了統一意見。

(二)被幫助行為構成其他犯罪

第一,釣魚網站。我國刑事立法對于網絡釣魚缺乏針對性的規定,司法機關一般按照目的行為將其認定為詐騙罪、盜竊罪、侵犯公民個人信息罪、信用卡詐騙罪等,“東打一槍,西放一炮,沒有形成一個明確且穩定的刑事規制體系”。(5)周華:《論網絡犯罪及其刑法規制——以網絡釣魚為觀察對象》,載《法制與社會》2010年第24期。釣魚網站也屬于“其他技術手段”,但與“撞庫軟件”不同的是,對釣魚網站的罪名適用存在分歧,對具有財產價值的數據應作為財產、個人信息還是數據進行保護,實踐中存在較大爭議。

第二,手機轟炸軟件?，F在網絡上的手機轟炸軟件均是由個人開發制作,以打擊報復、敲詐勒索、軟暴力催收欠款為目的,司法機關一般以尋釁滋事罪、敲詐勒索罪、破壞計算機信息系統罪、非法利用信息網絡罪等罪名對其定罪。有學者認為手機轟炸軟件具有“間接控制”計算機信息系統的功能,屬于“專門工具”,可以構成非法控制計算機信息系統罪;但也有學者認為手機轟炸軟件既有合法用途,也可用于非法用途,惡意呼叫使得被害人的手機在一定時間內無法正常使用,不代表對被害人的手機進行了非法控制,軟件使用者不構成非法控制計算機信息系統罪,軟件提供者也不構成“提供工具罪”。(6)參見楊毅:《操控惡意呼叫軟件構成破壞計算機信息系統罪》,載《人民司法》2021年第5期?？傮w而言,對手機轟炸軟件的定性,司法實務和學界都存在較大爭議。

第三,DDoS攻擊軟件。對以攻擊計算機信息系統為目的、非法控制計算機信息系統的DDoS攻擊行為,司法實踐多數按照牽連犯處理,根據擇一重罪處罰原則以破壞計算機信息系統罪定罪處罰;(7)參見郟義嘉、陳芳:《非法控制他人計算機進行拒絕服務攻擊行為之定性》,載《人民司法》2012年第4期。但也有法院將其認定為非法控制計算機信息系統罪。(8)截至2023年7月30日,以破壞計算機信息系統罪對使用DDoS軟件的行為進行定罪的判決有95起,以非法控制計算機信息系統罪進行定罪的判決有58起?？梢?對于DDoS軟件的本質是“破壞性”還是“控制性”,實踐中仍存在一定爭議。

(三)被幫助行為不構成犯罪

第一,插件(外掛軟件)。早期的外掛一般被用于網絡游戲作弊,但隨著移動智能設備的普及,外掛逐漸進入多個領域,如“微信搶紅包”外掛、“美團眾包搶單”外掛等。使用外掛一般不構成犯罪,而制售外掛的行為定性,在實踐中存在“提供工具罪”、非法經營罪、破壞計算機信息系統罪、非法獲取計算機信息系統數據罪、侵犯著作權罪、無罪(民事爭議或行政處罰)等爭議。由于外掛軟件的運行方式多樣,學者多支持區別對待不同類型的外掛,但未形成普遍認同的分類標準,在罪名適用上也存在較大分歧。

第二,翻墻軟件(VPN)。對提供翻墻軟件是否構成犯罪有不同意見,在有罪論中也存在“提供工具罪”、非法經營罪、拒不履行信息網絡安全管理義務罪等罪名爭議。

綜上,在三類程序、工具中,“被幫助行為構成《刑法》第285條”的木馬病毒、撞庫軟件在罪名適用上無太大爭議;而“被幫助行為構成其他犯罪”的釣魚網站、手機轟炸軟件、DDoS攻擊軟件及“被幫助行為不構成犯罪”的外掛軟件、翻墻軟件均存在很多爭議,而這五種軟件的案件數量合計占比在60%以上。因此,如何準確適用“提供工具罪”是亟需研究的問題。

三、罪名濫用現象梳理與原因分析

“提供工具罪”罪名適用爭議的背后,是該罪的構成要件模糊導致口袋化。具體而言:一是“專門工具”與“其他工具”界限模糊,司法人員常錯誤解讀司法解釋中的技術名詞,將“具有侵入功能”與“專門工具”劃上等號;二是“專門工具”的認定標準過低,缺乏專門的鑒定機構與鑒定標準,混淆“破壞性程序”與“侵入性程序”;三是將“被幫助的犯罪行為”擴張到《刑法》第285條之外的犯罪,導致該罪適用范圍擴張。

(一)“專門工具”與“其他工具”的界限不清

“提供工具罪”有“專門工具”和“其他工具”兩個入罪路徑:一是提供“‘專門’用于侵入、非法控制計算機信息系統的程序、工具”;二是“明知”他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其“提供程序、工具”?？梢?“專門工具”的入罪條件較少,無論他人是否實施犯罪行為,提供者均構成犯罪;而“其他工具”的入罪條件較多,需他人實施犯罪,且提供者對此明知。但是,實踐中兩者的界限模糊,導致該罪的入罪門檻降低。

1.司法解釋擴大了“專門工具”的范圍

第一,司法解釋突破了立法機關對“專門工具”的界定。全國人大常委會法工委刑法室編寫的論著將“專門工具”解釋為“行為人所提供的程序、工具‘只能’用于實施非法侵入、非法控制計算機信息系統的用途?！?9)全國人大常委會法工委刑法室編:《中華人民共和國刑法條文說明、立法理由及相關規定》,北京大學出版社2009年版,第592頁。立法機關強調“只能用于侵入、控制”。而最高人民法院、最高人民檢察院(以下簡稱“兩高”)發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《計算機司法解釋》)第二條第(一)(二)項對于“專門工具”的解釋僅要求“具有侵入、控制功能”,將“唯一功能”偷換成“可用功能”,擴張了“專門工具”的范圍。

第二,司法解釋未明確界定“侵入”的含義?！队嬎銠C司法解釋》第二條第(一)(二)項均將“避開或者突破安全保護措施”“未經授權或者超越授權”作為認定“專門工具”的條件之一,而第(三)項卻未規定前兩項的認定標準,以“侵入”代之,將其與“非法控制”“非法獲取數據”并列描述?！队嬎銠C司法解釋》并未明確界定“侵入”的標準,其含義是“避開或者突破安全保護措施”“未經授權或者超越授權”之和,還是與“非法控制計算機信息系統”“非法獲取計算機信息系統數據”并列,語義上存在模糊性。從系統解釋的角度分析,按照非法侵入計算機信息系統罪的規定,若僅有“侵入”行為,則對象是國家事務、國防建設、尖端科學技術領域的計算機信息系統時才構成犯罪。據此可推論,若行為人提供只是具有“侵入”功能的程序、工具而非“‘只能用于’侵入的程序、工具”,則只能構成非法侵入計算機信息系統罪的幫助犯。顯然,具有“侵入”功能不能當然推定其屬于“專門工具”。在技術上,“專門工具”不一定具有“侵入”功能(如最高人民檢察院在指導性案例中提及的“撞庫軟件”)。換言之,具有“侵入”功能不是“專門工具”的充分條件,也不是必要條件。但是,一些司法人員錯誤理解“侵入”的含義,將“具有侵入功能”與“專門工具”劃等號,擴大了“專門工具”的范圍。

2.片面強調“數據”“控制”的技術判斷或規范評價

認定“非法獲取計算機信息系統數據”和“非法控制計算機信息系統”時,片面強調技術判斷或規范評價都會導致“專門工具”范圍過大。

第一,司法機關片面強調“數據”的技術判斷而忽視了其規范評價。法律保護數據是因為其技術屬性具有成為保護客體的基礎,但核心是數據承載了某種社會利益,技術的客觀內容與法律的規范評價缺一不可。如學者所言,“法律應側重于保護信息本身的合法財產利益,而不是通過保護信息系統的物理、有形屬性來間接保護有價值的信息?！?10)Orin S. Kerr, Cybercrime's Scope:Interpreting "Access" and "Authorization" in Computer Misuse Statute,New York University Law Review. Vol. 78,2003, p.1605.《計算機司法解釋》未解釋“數據”,僅在第一條中明確身份認證信息屬于數據,即用于確認用戶在計算機信息系統上操作權限的數據,包括賬號、口令、密碼、數字證書等。而司法機關認定的“數據”還包括儲存在計算機信息系統上的用戶身份信息,如身份證號碼、聯系方式、家庭住址、銀行卡賬號與密碼等。身份認證信息代表系統操作權限,將“數據”解釋為身份認證信息是一種規范評價;而用戶身份信息代表用戶個人的隱私權、財產權,將“數據”解釋為一切存儲在計算機中的信息是用技術判斷的視角擴張了“數據”的范圍。如學者指出,在技術層面上,數據是信息的載體,表現為二進制代碼,很容易認定;而在法律層面上,數據承載著法益保護需要,較為抽象;不少司法人員傾向于只從技術角度理解數據,避而不談非法獲取數據行為侵犯了何種法益。(11)參見楊志瓊:《非法獲取計算機信息系統數據罪“口袋化”的實證分析及其處理路徑》,載《法學評論》2018年第6期。實踐中,司法機關僅從技術層面理解“數據”概念,導致“數據”的范圍擴大到使用翻墻軟件獲取的國外網站數據、使用游戲外掛軟件獲取的游戲數據、使用爬蟲軟件抓取的公開數據等,人為擴大了“數據”的范圍,超越了《刑法》第285條的構成要件保護范圍。

第二,司法機關過度強調“控制”的規范評價而忽視其技術判斷?！胺欠刂啤笔紫仁羌夹g判斷,即竊取或限制系統管理員賬戶的部分系統控制權,如有學者的界定:“行為人使計算機信息系統處于非法控制狀態下,按照行為人的意志運行,不正當地限制宿主的使用權限,侵犯權利人的合法權益?！?12)李永升編:《刑法新增和修正罪名適用》,中國人民公安大學出版社2013年版,第252頁。但是,在實踐中,司法機關過度強調“控制”的規范評價,僅從侵害結果角度對行為進行規范評價,混淆了“控制”與“破壞”的界限。例如,在“全國首例黃牛搶購軟件案”(13)參見山西省太原市迎澤區人民法院(2017)晉0106刑初583號刑事判決書。中,該搶購軟件具有模擬用戶登錄淘寶賬號并進行批量下單的功能,同時能通過重新撥號更換IP地址,繞過淘寶對于同一IP地址頻繁發送交易請求的限制。有學者認為,搶購軟件會侵入淘寶的計算機信息系統并對其予以控制,應以非法控制計算機信息系統罪論處。(14)參見周光權:《通過刑罰實現積極的一般預防——國內首起“黃?！睋屬徿浖冈u析》,載《中國法律評論》2018年第2期。但是,黃牛搶購軟件變換用戶IP地址、高頻發送交易請求的行為類似于DDoS攻擊,所有操作指令均是從用戶電腦上發出,且以普通用戶身份而非管理員權限向系統發出交易請求,其目的是使計算機信息系統無法處理正常買家的交易請求,始終都未獲得計算機系統的控制權限。將使用搶購軟件的行為解釋為“間接控制(計算機信息系統)”,就是從后果角度進行的主觀規范評價,沒有考慮到“控制”的技術判斷,混同了“妨礙普通用戶的使用權限”與“限制系統管理員的使用權限”。

(二)“專門工具”的認定標準過低

相比于“其他工具”,“專門工具”的鑒定標準、認定程序應更嚴格。但是,實踐中以“專門工具”入罪的案件遠多于“其他工具”,而其實體和程序認定均不規范。

1.在實體上過度擴張“侵入”的內涵

我國《刑法》沒有明確規定“侵入”的含義,司法機關依據《計算機司法解釋》第二條對“專門工具”的解釋,將“侵入”理解為“避開或突破計算機信息系統的安全保護措施,未經授權或超越授權的訪問行為”。但《計算機司法解釋》沒有定義“授權”“安全保護措施”“訪問”,導致實踐中過度擴張解釋“侵入”。例如,在“張海波等復制IC卡案”(15)參見江蘇省常州經濟開發區人民法院(2021)蘇0492刑初317號刑事判決書。中,被告人張海波等從網上購買了IC卡加密復制器,將公司配發的IC卡原卡復制成小卡,使小卡與原卡一樣具有刷卡吃飯、考勤打卡、門禁卡等功能,再出售小卡牟利。法院將復制后的小卡認定為“專門工具”,以“提供工具罪”判處被告人罰金5000元。司法機關濫用“侵入”,將使用小卡的行為認定為“侵入計算機信息系統”。實際上,使用復制的小卡需要遵循作為公司安全保護措施的防護程序,類似于在POS機、自動取款機上“使用偽造的信用卡”,并未突破“安全保護措施”,和黑客攻擊有本質區別,不能認定為侵入公司的計算機信息系統。

如果不嚴格把握“侵入”的內涵,很多違法行為都可以被認定為“提供工具罪”。按照“張海波等復制IC卡案”判決的邏輯,行為人用猜數字的方式破解特斯拉汽車的電子密碼鎖,也會被認為侵入了汽車和電子鎖的安全防護系統;偽造內置IC卡的二代身份證后刷身份證進火車站,會被認為侵入了身份證管理系統;偽造可以騙過ATM機的紙幣,會被認為侵入了銀行的安全防護系統。換言之,幫助他人偷開車鎖、偽造身份證、偽造人民幣都可能構成“提供工具罪”,這顯然超出了刑法條文語義的最大射程。

2.在程序上缺乏鑒定“專門工具”的機構

《計算機司法解釋》第十條規定,對于“專門工具”的認定難以把握的,可以委托省級以上負責計算機信息系統安全保護管理工作的部門檢驗。但在司法實踐中,一些法官在被告人提出鑒定申請后,會以“沒有必要委托有關部門檢驗”為由駁回。例如,在“楊童售賣DDoS攻擊軟件案”(16)參見浙江省蒼南縣人民法院(2017)浙0327刑初546號刑事判決書。中,法院未對涉案軟件進行技術鑒定,未分析該程序避開了何種“安全保護措施”、如何對系統實施控制,僅因其產生了破壞性后果便認定為“專門程序”,其技術依據明顯不足。

法院不愿進行司法鑒定有兩個原因:一是合格鑒定機構缺失?！笆〖壱陨县撠熡嬎銠C信息系統安全保護管理工作的部門”具體是哪個部門,司法解釋沒有明確規定。二是鑒定能力不足。實踐中法院委托的鑒定機構基本是以“電子證據”為鑒定內容,其主要業務是鑒定電子數據的真偽,如數據是否經過篡改、是否為原始數據,基本是一種靜態、單向鑒定;而鑒定“專門工具”需要結合業務場景進行動態、雙向鑒定。目前具備鑒定能力的專業機構極少,而傳統鑒定機構的鑒定也多流于形式,其結論基本是將送檢程序描述成具有破壞性或侵入性,法官再根據危害后果進行規范判斷從而肯定其屬于“專門工具”。

(三)將被幫助的犯罪行為擴張到《刑法》第285條之外的犯罪

《刑法》第285條明確限定了“提供工具罪”下游犯罪的范圍,但司法機關常將下游犯罪擴張到詐騙、盜竊等非計算機犯罪,擴張本罪適用范圍。

第一,擇一重罪處罰導致罪名適用擴張。以“其他工具”為基礎判定“提供工具罪”,需行為人明知他人實施侵入、非法控制計算機信息系統犯罪而為其提供程序、工具。雖然在字面上,法條未提及非法獲取計算機信息系統數據罪,但從體系性解釋的角度考慮,此處也應該包括非法獲取計算機信息系統數據罪(下合稱“侵入、獲取、控制三罪”)。(17)參見喻海松:《〈關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋〉的理解與適用》,載《人民司法》2011年19期。擇一重罪處罰導致罪名適用擴張是指,被幫助行為人同時構成“侵入、獲取、控制三罪”和其他犯罪,按照牽連犯或想象競合犯等擇一重罪處罰時,最終以非計算機犯罪進行定罪的情形。在被幫助行為同時構成其他犯罪和“侵入、獲取、控制三罪”時,擇一重罪處罰并未擴張“提供工具罪”的適用范圍,符合罪刑法定原則。但這種處理方式只能存在于以“其他工具”為基礎判定構成“提供工具罪”的場合,否則將超出“‘專門工具’只能用于實施非法侵入、非法控制計算機信息系統的用途”的應有之意。

第二,寬松認定“專門工具”導致罪名適用擴張。以“專門工具”入罪,不要求被幫助的犯罪行為構成犯罪,也無需考慮被幫助行為構成何罪。許多涉案軟件程序不具有非法獲取數據或非法控制系統的功能,但司法人員為減少入罪障礙常直接將其認定為“專門工具”。如在“鐘全喜出售賭資統計軟件案”(18)參見安徽省含山縣人民法院(2020)皖0522刑初21號刑事判決書。中,被告人向他人出售統計軟件,供他人在微信賭博群內統計賭資。經鑒定,該統計軟件能夠向微信主程序注入代碼文件,在微信軟件中增加賭博功能,法院認為被告人提供“專門工具”供他人用于微信賭博統計,構成“提供工具罪”。本案中,軟件使用者利用微信與賭資統計軟件開設線上賭場,構成開設賭場罪,不構成“侵入、獲取、控制三罪”,若將該軟件認定為“其他工具”將導致無法入罪,故法院只能以“專門工具”入罪。但是,本案被告人的目的是通過反編譯破解微信代碼,繞過微信的插件安全識別措施,使得自己開發的賭博軟件能夠與微信主程序“捆綁”。該賭博軟件與“脫機類外掛”相似,能夠“偽裝”成微信客戶端程序訪問微信服務器,但其獲取的信息系賭客在線上賭博時產生的用戶個人信息,不屬于微信系統的數據。換言之,該賭博軟件雖侵入了計算機信息系統,但未非法獲取計算機信息系統數據,也未非法控制計算機信息系統。即便被告人在反編譯過程中獲得了軟件代碼,也只能認定為侵犯著作權罪,因為反編譯在技術上不是侵入行為而不構成“提供工具罪”。因此,將類似統計軟件認定為“專門工具”違反《計算機司法解釋》的規定。

另外,上文提及的刷量軟件、翻墻軟件的罪名適用爭議也體現了該罪擴張適用的現象。使用刷量軟件的粉絲、使用翻墻軟件瀏覽國外網站的用戶不構成犯罪,兩種軟件只是單方面向境外計算機系統發送訪問請求,不具備非法獲取計算機信息系統數據或非法控制計算機信息系統的功能,甚至目標計算機信息系統(如國外網站)允許任何用戶訪問,將該兩類軟件認定為“專門工具”是為了入罪而無視“專門工具”的技術判斷,導致“提供工具罪”的濫用。

四、“提供工具罪”濫用的應對路徑

本文認為,解決“提供工具罪”濫用需從三個方向同時入手:一是劃清“專門工具”與“其他工具”的界限,防止濫用“專門工具”而降低入罪門檻;二是明確“專門工具”認定標準中的專業名詞,防止純技術的簡單判斷或者唯后果論的規范評價;三是理清“提供工具罪”中的共犯關系,防止幫助行為正犯化型罪名的濫用。

(一)區分“專門工具”與“其他工具”的關鍵在于程序設計目的

司法實踐混淆“專門工具”與“其他工具”界限的原因之一在于,將“行為”和“目的”混為一談?！皩ｉT工具”是“只能”被用于侵入、非法控制計算機信息系統的程序、工具,而“其他工具”是“可以”被用于侵入計算機信息系統的程序、工具,兩者的區別是程序、工具的設計目的——是否以非法獲取數據、非法控制計算機信息系統為目標。

1.“專門工具”不一定具有侵入功能

實踐中常見的誤解是:“專門工具”具有侵入功能,可以直接構成“提供工具罪”;而“其他工具”不具有侵入功能,若明知被用于實施計算機犯罪仍提供也可以構成“提供工具罪”。實際上,被用于非法獲取計算機信息系統數據和非法控制計算機信息系統的程序、工具,不一定具有侵入功能。根據《刑法》第285條第二款規定,構成非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪有“侵入計算機信息系統”和“采用其他技術手段”兩種方式?！捌渌夹g手段”意味著使用“侵入”以外的方式非法獲取計算機信息系統數據、非法控制計算機信息系統,常見的“其他技術手段”有撞庫軟件、(19)參見江蘇省宿遷市中級人民法院(2020)蘇13刑終23號刑事裁定書。釣魚網站、(20)參見江蘇省蘇州市吳江區人民法院(2021)蘇0509刑初1065號刑事判決書。接碼平臺(21)參見江蘇省徐州市泉山區人民法院(2021)蘇0311刑初441號刑事判決書。等。在“提供工具罪”語境下,撞庫軟件是專門用于非法獲取計算機信息系統數據的“專門工具”;(22)參見最高人民檢察院第十八批指導性案例中的“葉源星案”。釣魚網站是可以被用于非法獲取計算機信息系統數據的“其他工具”;(23)參見浙江省麗水市中級人民法院(2017)浙11刑終67號刑事判決書。接碼平臺目前尚未涉及“提供工具罪”,對其一般按照幫助犯以幫助信息網絡犯罪活動罪定罪?？梢?區分“專門工具”和“其他工具”并非以是否具有侵入功能為依據,而是以實際用途為依據。

2.“專門工具”與“其他工具”的區別在于是否以“非法獲取數據”“非法控制系統”為目的

“專門工具”與“其他工具”都可以被用于非法獲取計算機信息系統數據、非法控制計算機信息系統,區分兩者的依據是其功能設計是否以非法獲取計算機信息系統數據、非法控制計算機信息系統為目的。例如,外掛軟件的設計目的是節約操作時間、在競爭中作弊、獲取額外操作功能等,而不是非法獲取計算機信息系統數據、非法控制計算機信息系統。因此,外掛軟件(24)并非所有外掛軟件都具有侵入功能,此處僅指具有侵入功能的外掛軟件。屬于“其他工具”,只有被用于實施“侵入、獲取、控制三罪”時才可構成“提供工具罪”,否則應按照侵犯著作權罪、非法經營罪等定罪。又如,釣魚網站既可以用于獲取用戶的身份認證信息(即嚴格意義上的系統數據),也可用于獲取公民的個人信息(如身份證號碼、手機號碼),只有被用于實施獲取身份認證信息時才可構成“提供工具罪”。

結合限制中立幫助行為可罰性的理論,本文認為,判斷提供程序、工具的行為是否可以構成“提供工具罪”,應從涉案程序的行政違法性、實際功能及設計目的三個層面進行判斷(如表3所示)。

表3:“提供工具罪”認定邏輯結構

按上圖的邏輯,在認定“專門工具”時,對于具有侵入功能的程序、工具,需判斷其是否以“非法獲取數據”或“非法控制系統”為設計目的;對于不具有侵入功能的程序、工具,還需判斷其是否在“其他技術手段”的輻射范圍內。具有侵入功能并不直接決定待證工具是“專門工具”還是“其他工具”,但會影響入罪路徑與難度?！队嬎銠C司法解釋》第二條第(一)(二)項將“避開或者突破安全保護措施”“未經授權或者超越授權”作為認定“專門工具”的條件之一,對應《刑法》第285條第2款中的“侵入計算機信息系統”;而第3款兜底性條款則為“其他技術手段”提供入罪空間。因此“非法獲取數據”或“非法控制系統”是認定“專門工具”的必要條件,而“侵入(功能)”不是。將三者放在同等地位,是對司法解釋的誤解。

3.“非法獲取數據”“非法控制系統”應受技術判斷和規范評價兩層限制

第一,在認定“非法獲取數據”時,司法機關應更重視規范評價。對于“非法獲取計算機信息系統數據”而言,“數據”在技術上指以二進制信息單元0、1的形式表示的信息載體,記錄的信息包括聲音、圖像、符號、文字等。從技術角度理解“數據”,其范圍是極為寬泛的,不能把以非法手段獲取的數據都認定為“非法獲取數據”?！队嬎銠C司法解釋》第一條將“數據”的范圍限縮為身份認證信息,無法適應實踐中的復雜情況,因此需在此基礎上從法律角度對“數據”的范圍進行適當擴張。因此,界定“數據”的范圍需要在技術判斷的基礎上進行規范評價,這就要考慮手段的非法性,即“非法獲取數據”的“非法性”體現在所要獲取的數據是合法手段無法獲得的。例如,“釣魚網站”獲取用戶身份認證信息屬于“非法獲取數據”,而“爬蟲軟件”抓取公開網頁數據則不屬于,以合法手段能夠獲得的數據不在“非法獲取數據”的評價范圍內。

第二,在認定“非法控制系統”時,司法機關應更重視技術判斷。對于“非法控制計算機信息系統”而言,“控制”的詞義是“使計算機系統執行管理員或用戶發出的指令”。從技術判斷的角度理解“非法控制”,應是使計算機系統執行“超出系統授權的指令”,而非所有“以非常規手段發送的指令”。破壞計算機信息系統的行為?！耙苑浅Ｒ幨侄伟l送的指令”的方式實現,使系統無法正常運行。例如,手機轟炸軟件通過惡意呼叫使得用戶手機無法正常使用,屬于破壞計算機信息系統的行為,而不能認定為非法控制計算機信息系統?！胺欠刂葡到y”的“非法性”體現在其發送給計算機執行的指令內容是未經授權或超出授權的,如木馬病毒向計算機發送的“修改文件、格式化硬盤”的操作指令屬于“非法控制系統”;相反,行為人私自開發第三方炒股分倉軟件,通過股民賬號向服務器發送的交易指令,沒有超越系統的授權進行操作,就不屬于“非法控制系統”。

從技術判斷和規范評價兩個角度綜合理解“非法獲取數據”“非法控制系統”,在遵循技術本質的同時結合行為的非法目的、結果判斷“數據”和“控制”,避免了定義過窄,在滿足司法實踐需要的同時又防止了無序擴張罪名的口袋化危險。

(二)對“授權”“保護措施”做出法學定義

在司法實務中,法官一般將“侵入”理解為避開或突破計算機信息安全保護措施,未經授權或超越授權的訪問行為。如何理解“訪問”“授權”,是界定“侵入”的核心。有國外學者提出,對于“訪問(access)”應做廣義理解(即任何成功與計算機發生交互的行為),而對于“授權(authorization)”則要按照程序編碼進行限制性解釋。(25)同前注,Orin S. Kerr文。我國學界并未深入討論這幾個術語,界定“侵入”的認定標準,需要先對“授權”和“保護措施”做出法學定義。

1.“授權”是程序編碼設定的權限

第一,追本逐源,在計算機犯罪發源地,“授權”存在多種解釋。美國《計算機欺詐和濫用法案》(下簡稱“CFAA”)規定了七種計算機犯罪,也以“未經授權或超越授權”為構罪要件,(26)除了1030(a)(5)(A)(i)與(a)(7)款。實踐中“授權”共出現了三種解釋:(1)程序編碼設定的權限(下簡稱“技術授權”),指計算機信息系統的權利人通過程序編碼等技術手段對用戶的身份進行識別,進而對用戶的使用權限做出限制。例如,用戶只有輸入賬號和密碼、使用特定的客戶端程序、互聯網協議地址、訪問設備才可以訪問服務器,遵循這一認證邏輯就是授權訪問,采用這一觀點的代表案例有莫里斯案,(27)See United States v．Morris, 928 F.2d 504 (1991) ．莫里斯開發了一款“蠕蟲”程序并在網絡上發布,旨在證明其發現了一項計算機信息系統的重大漏洞,導致美國境內大部分計算機信息系統癱瘓。(2)服務協議約定設立的權限(下簡稱“合意授權”),指計算機信息系統的權利人通過服務協議條款的方式與用戶約定使用權限。例如,用戶在注冊賬戶時需同意軟件開發者事先擬定的用戶協議及隱私條款,注冊成功后方可使用軟件的相應功能,遵循這些協議要求才是授權訪問,采用這一觀點的代表案例有洛麗·德魯案,(28)See United States v. Drew, 259 F.R.D. 449 (2009).洛麗·德魯的女兒與少女梅根·梅爾因一些原因交惡,洛麗為給女兒出氣使用虛假身份在社交網站注冊賬號并與梅根“交往”,隨后又煽動網友對梅根實施網絡暴力,導致梅根自殺。(3)以代理規則為依據的代理人權限(下簡稱“代理授權”),即以民事代理中的規定來判斷代理人在行使訪問行為時是否未經授權或超越授權。例如,公司將其社交媒體賬號交由其員工使用,并以命令等公司規定的方式限制員工的使用權限,員工違反公司規定就是超越授權訪問,采用這一觀點的代表案例有“賽佳德倉儲中心公司訴賽福佳德自存倉儲公司案”,(29)See Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc.,119 F. Supp. 2d 1121 (2000).賽佳德公司買通了賽福佳德公司的地方部門經理埃里克·利蘭及其他幾個員工,讓他們利用職務之便將賽福佳德公司電腦中的商業秘密通過郵件發送給賽佳德公司。

第二,我國《刑法》未對“未經授權、超越授權”做出定義,實踐中未形成統一標準。一方面,判決書很少解釋“未經授權、超越授權”。筆者以中國裁判文書網為數據庫,檢索2012年至2023年7月間案由為“提供工具罪”的裁判文書,800余篇文書中僅有20篇在判決主文部分提及“未經授權”,僅6篇文書在判決主文部分提及“超越授權”,僅5篇對“未經授權”進行簡單解釋。另一方面,契約型“合意授權”也成為定罪依據。如在“張某等轉發定位數據案”中,被告人張某等注冊了某定位公司的會員賬號后,獲取了精準定位數據,再利用其編寫的程序轉發給他人以牟利。按照用戶協議,一個賬號只能給一個客戶使用,客戶不能以任何形式轉發其獲取的定位數據。對張某“合法獲取數據、違約轉發數據”的行為,法院認定構成非法獲取計算機信息系統數據罪。(30)參見浙江省湖州市中級人民法院(2021)浙05刑終87號刑事裁定書。這就是采用契約型“合意授權”判斷“超越授權”,把張某的違約行為作為犯罪處理。張某通過購買服務的方式合法獲取了定位公司的數據后,超越用戶協議的授權而轉發數據牟利,侵犯了定位公司的數據權、商業秘密或知識產權,主要屬于民事侵權行為。即便情節嚴重需要定罪,也屬于侵犯著作權罪,而不屬于“超越授權非法獲取數據”。否則,大量違反用戶協議的違約行為,都可能被作為犯罪處理。

第三,我國《刑法》應當采用“技術授權”的標準判斷“侵入”?！昂弦馐跈唷焙汀按硎跈唷本敲袷滦袨榈臋嗬A,屬于民法的意思自治規范,以其作為刑事違法性的認定標準有違罪刑法定原則。美國法院已經注意到,濫用CFAA會使無數用戶因整體上的無害行為而受到刑事制裁并承擔民事責任。例如,濫用CFAA會過度打擊只是違反服務協議的用戶,如在社交網站上謊報年齡與性別;也可能打擊僅違反了公司規定的員工,如公司為員工提供了限制訪問權限的計算機,規定僅能用于公司商業目的,而員工使用公司計算機查看棒球比賽的比分。(31)See David J. Schmitt, the Computer Fraud and Abuse Act Should Not Apply to The Misuse of Information Accessed with Permission,Creighton Law Review,Vol.47, 2014, p.423 .因此,在“授權”的標準上,美國聯邦法院在刑事案件中普遍以“技術授權”為依據,在洛麗·德魯案之后就很少適用“合意授權”;(32)洛麗·德魯被指控違反CFAA規定,未經授權或超越授權訪問計算機,非法獲取信息。法院最終依據憲法上的明確性原則,判定以“違反服務協議條款”為由認定刑事違法性不當,撤銷了對洛麗的指控。而“代理授權”一般適用于民事賠償。(33)參見高仕銀:《計算機網絡犯罪規制中的“未經授權”與“超越授權”——中美比較研究》,載《時代法學》2020年第1期。相較于美國法院,我國司法機關對“未經授權”和“超越授權”尚未形成統一判斷標準,導致寬松地認定“侵入行為”。未來,我國司法機關在認定“侵入行為”時,應以“技術授權”作為判斷標準,并在裁判文書中闡明“授權”的來源與內容,以明確區分違約、侵權與犯罪的界限。

2.“安全保護措施”僅限于系統安全和網絡安全保護措施

第一,計算機犯罪語境下的“安全保護措施”是技術上的安全保護措施?！鞍踩Ｗo措施”在計算機領域沒有統一定義。國際標準化委員會對“計算機安全”的定義是“為數據處理系統建立和采取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露?！痹谟嬎銠C領域,“安全保護措施”是一個包含硬件、軟件、數據等多個層面的廣義概念。有學者指出,要建立一個完整的網絡信息安全系統,至少應包括三類措施:法律法規、規章制度和安全教育等外部措施、技術措施以及審計和管理措施。(34)參見趙瑞霞:《淺談涉密計算機網絡的安全防護措施》,載《網絡安全技術與應用》2010年第5期?？梢?計算機領域的“安全保護措施”是一個含義多變的概念。對此可以看一下計算機發源地的做法,美國《計算機欺詐和濫用法案》并沒有規定“保護措施”,而是以“受保護的(protected)計算機”指稱犯罪對象。在實務中,連接到互聯網的計算機均可認定為“受保護的計算機”,(35)See Simmonds Equipment, LLC v. GGR Intern., Inc., 126 F.Supp.3d 855(2015).而連接內部網絡或不聯網的計算機則不屬于保護對象。本文認為,計算機犯罪語境下的“保護措施”首先應是在計算機信息系統連接公共網絡時起保護作用的技術措施,法律法規等外部措施與審計、管理措施,因不直接作用于計算機信息系統的聯網機制而應被排除在外。

第二,“提供工具罪”語境下的“保護措施”不涉及硬件與環境安全、數據庫安全與應用系統安全。一般認為,技術上的安全保護措施具體可分為五種類型:硬件與環境安全、操作系統安全、網絡安全、數據庫安全、應用系統安全。(36)參見耿珺:《計算機信息系統安全防護措施探討》,載《信息與電腦(理論版)》2011年第12期。

本文認為,《刑法》上的“保護措施”不包括硬件與環境安全、數據庫安全、應用系統安全,理由如下:

首先,“硬件與環境安全”屬于固定設備安全,沒有現代計算機的特殊屬性。無論是針對計算機信息系統實施的狹義計算機犯罪,還是通過網絡實施的廣義網絡犯罪,均與虛擬網絡世界有關,而硬件和環境安全主要是固定設備層面的?，F代計算機的主要特征是聯網,否則,傳統汽車、冰箱、車床的操作系統,都會被認定為“計算機信息系統”。文件加密技術、硬件訪問控制技術、防電磁泄露技術、防復制技術等具體措施,主要防止他人使用移動存儲設備或外接設備非法獲取計算機信息系統內存儲的數據,與計算機信息系統是否聯網無關,其同外部措施和管理措施一樣,不是“計算機的安全保護措施”。

其次,按照我國《刑法》的歸類,“數據庫安全”屬于破壞計算機信息系統罪的評價范圍?！皵祿彀踩迸c“網絡安全”的保護措施存在一定程度的重疊,如防火墻、高強度身份認證系統等,這些措施主要防止數據庫中的數據被用戶非法獲取。而剔除重合部分,數據庫安全的保護措施主要防止數據被非法用戶刪除、修改、增加。按照《刑法》第286條規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,應評價為破壞計算機信息系統罪,故意制作、傳播計算機病毒等破壞性程序的也依照破壞計算機信息系統罪處理。因此在防止非法“獲取”數據的保護措施已被“網絡安全”涵蓋的情況下,將“數據庫安全”從“提供工具罪”語境下的“保護措施”中剔除,有利于實踐分清“提供工具罪”和破壞計算機信息系統罪。

再次,“應用系統安全”屬于“代理授權”或“合意授權”評價的內容?！皯孟到y安全”中的驗證輸出數據、審查日志、管理用戶訪問、責任分離等措施雖需通過技術手段實現,但本質是管理措施的延伸,主要防范系統內部網絡的違規操作而非公共網絡。其防護對象是系統管理人員和合法用戶,防止用戶的錯誤操作對系統自身造成破壞。例如,在“張某等轉發定位數據案”中,張某經營的公司曾為該定位公司的分銷商,其獲取的數據來源于分銷系統,該公司發現張某轉發數據行為后更新了分銷系統服務協議與用戶協議,明確規定禁止轉發數據,且終止張某公司的分銷商資格,但張某編寫程序突破系統的賬號認證、位置識別、處置轉發行為等保護措施,繼續轉發數據。該行為與“賽佳德倉儲中心公司訴賽福佳德自存倉儲公司案”中員工擅自轉發公司的商業機密類似,即“獲取”數據合規而“轉發”數據違規,屬于違反“代理授權”或“合意授權”的行為。因此突破“應用系統安全”的安全防護措施應屬于民事違約或侵權而非刑事犯罪。

最后,“操作系統安全”的主要功能是控制系統的運行、管理計算機各種資源、防止計算機信息系統被他人非法控制;“網絡安全”主要是阻止非法用戶遠程實施對計算機信息系統的非法訪問、破壞或者攔截,防止計算機信息系統的數據被非法獲取。因此,“操作系統安全”和“網絡安全”符合“提供工具罪”中“保護措施”的定義,我國司法實踐基本上也是按照這一思路認定“提供工具罪”。

綜上所述,“提供工具罪”語境下“保護措施”的法學定義是“為保護計算機信息系統的操作系統安全與網絡安全所采取的技術措施”。根據該定義,長城防火墻等國家網絡安全監管措施屬于政策層面的外部措施,公司對于員工IC卡的使用限制規定屬于審計和管理措施,兩者都不是為保護操作系統和網絡安全而采取的技術措施。因此,使用翻墻軟件、使用復制的IC卡不屬于侵入計算機信息系統,提供翻墻服務、出售IC卡的行為也不構成“提供工具罪”。未來,我國應以司法解釋的方式規定“保護措施”的具體類型,將法律法規、規章制度和安全教育等外部措施,以及審計和管理措施排除在外,讓司法機關更清晰地理解“提供工具罪”的適用場景。

(三)以被幫助行為的性質限制罪名適用

幫助行為的正犯化,不代表正犯行為與幫助行為的完全“松綁”?！疤峁┕ぞ咦铩钡娜胱锱c量刑有獨立標準,但其定性不應完全脫離被幫助行為的性質。在被幫助行為構成“侵入、獲取、控制三罪”時,提供工具者可以成立“提供工具罪”沒有爭議,而被幫助行為構成其他罪名或不構成犯罪時,應限制“提供工具罪”的適用。

1.被幫助行為人構成其他罪名分兩種情形

在“提供工具罪”中,被幫助者以其他罪名定罪存在兩種可能:一是被幫助者同時構成“侵入、獲取、控制三罪”和其他犯罪,以擇一重罪處罰的定罪規則處理;二是不考慮被幫助行為人的行為性質,以行為人提供“專門工具”為依據入罪。

第一,被幫助者擇一重罪處罰時只能以“其他工具”入罪,此時應以行為人“明知”他人實施了“侵入、獲取、控制三罪”為構罪要件。以釣魚網站為例,釣魚網站是“其他工具”,既可以被用于獲取賬號、密碼等身份認證信息;也可以被用于獲取身份證號碼、手機號碼、銀行卡密碼等個人信息;亦可以被用于實施詐騙、盜竊、信用卡詐騙等犯罪。所以,只要在行為人明知他人實施“侵入、獲取、控制三罪”仍為其提供釣魚網站時才可以認定為“提供工具罪”。

第二,以行為人提供“專門工具”為依據入罪,應嚴格遵循“專門工具”的認定標準。一方面,“專門工具”以非法獲取計算機信息系統數據和非法控制計算機信息系統為目的,在解釋“非法獲取數據”“非法控制系統”時應從技術和規范兩個角度綜合理解,嚴格區分“專門工具”與“其他工具”(對應《計算機司法解釋》第二條第(一)(二)項中“獲取計算機信息系統數據功能”“控制計算機信息系統功能”)。另一方面,“專門工具”有“具有侵入功能的程序、工具”和“其他技術手段”兩類?！熬哂星秩牍δ艿某绦?、工具”是具有避開或突破計算機信息系統安全保護措施、未經授權或者超越授權訪問計算機信息系統功能的程序、工具(對應《計算機司法解釋》第二條第(一)(二)項),“其他技術手段”的范圍應參照非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪的規定(對應《計算機司法解釋》第二條第(一)項)。

2.被幫助者不構成犯罪時只能以“專門工具”入罪

當被幫助者不構成犯罪時,“明知‘侵入、獲取、控制三罪’”這一要件無法成立,無法以“其他工具”入罪,只能以“專門工具”入罪。需要注意,在“被幫助者不構成犯罪”而以“專門工具”入罪時,也不能脫離共犯關系的鉗制,即“被幫助者不構成犯罪”僅是訴訟法上的無罪而非實體法上的無罪。訴訟法上的無罪情形包括:(1)(有預備行為)未著手實施犯罪的;(2)情節輕微,未達入罪標準,不作為犯罪處理的;(3)查證成本過大或無法查證,現有證據無法證明其構成犯罪的;(4)符合《中華人民共和國刑事訴訟法》其他不起訴規定的(如相對不訴、合規不訴)。若被幫助者的行為在實體法上無罪,則不能以“提供工具罪”入罪。例如,提供作弊型外掛軟件、翻墻軟件,使用者(被幫助者)在實體法上無罪,對提供工具者只能尋找非法經營罪、侵犯著作權罪、拒不履行信息網絡安全管理義務罪等其他入罪路徑。

五、結語:刑法對技術應持寬容之心

在網絡犯罪激增的當下,刑法應當“打早打小”但不能打中立技術?！缎谭ā返?85條最初以保護國家事務、國防建設、尖端科學技術領域的計算機信息系統安全為目的。隨著移動智能設備的普及,非法技術成為孕育網絡犯罪的溫床,立法者意識到對非法網絡幫助行為有獨立處罰的必要性,應為共犯行為設立獨立罪名,“提供工具罪”應運而生。自本罪設立以來,非法技術更新迭代,網絡犯罪手段也層出不窮,“提供工具罪”的打擊范圍也隨之擴大,具有一定中立性的程序和工具逐漸成為打擊對象。刑法應當推動技術的正當化使用,但不能過度干預技術,在技術高速進步與法律相對滯后的張力中,刑法不妨“讓技術飛一會”。傳統共犯理論難以應對日益嚴重的網絡犯罪,司法者采用積極刑法觀擴大刑法打擊范圍,對于治理網絡空間亂象具有正面意義。但是,在傳統刑法向預防刑法轉變時,刑法應當為技術留下緩沖余地,在認定技術型網絡犯罪時應當恪守罪刑法定原則,既要編織嚴密法網也要為技術發展提供空間。